【正文】 角色更容易地進(jìn)行特權(quán)管理。對(duì)于包含在某用戶名的模式中的對(duì)象，該用戶對(duì)這些對(duì)象自動(dòng)地具有全部對(duì)象特權(quán)，即模式的持有者對(duì)模式中的對(duì)象具有全部對(duì)象特權(quán)。系統(tǒng)特權(quán)：是執(zhí)行一處特殊動(dòng)作或者在對(duì)象類型上執(zhí)行一種特殊動(dòng)作的權(quán)利。例如一類用戶通常不執(zhí)行大量邏輯數(shù)據(jù)塊讀，那就可將LOGICALREADSPERSESSION和LOGICALREADSPERCALL設(shè)置相應(yīng)的值。用戶環(huán)境文件：用戶環(huán)境文件是指定資源限制的命名集，可賦給ORACLE數(shù)據(jù)庫(kù)的有效的用戶。有下列資源限制：l 為了防止無(wú)控制地使用CPU時(shí)間，ORACLE可限制每次ORACLE調(diào)用的CPU時(shí)間和在一次會(huì)話期間ORACLE調(diào)用所使用的CPU的時(shí)間。此時(shí)，當(dāng)前事務(wù)中所有之前執(zhí)行的語(yǔ)句不受影響，此時(shí)僅可作COMMIT、ROLLBACK或刪除對(duì)數(shù)據(jù)庫(kù)的連接等操作，進(jìn)行其它操作都將出錯(cuò)。在會(huì)話級(jí)：每一次用戶連接到一數(shù)據(jù)庫(kù)，建立一會(huì)話。資源限制是由環(huán)境文件管理。用戶的口令以密碼的格式存儲(chǔ)在數(shù)據(jù)庫(kù)數(shù)據(jù)字典中，用戶可隨時(shí)修改其口令。l 在數(shù)據(jù)庫(kù)中的用戶名項(xiàng)和操作系統(tǒng)審計(jì)跟蹤相對(duì)應(yīng)。如果操作系統(tǒng)允許，ORACLE可使用操作系統(tǒng)所維護(hù)的信息來(lái)鑒定用戶。l 設(shè)置用戶資源限制的環(huán)境文件，該限制規(guī)定了用戶可用的系統(tǒng)資源的總量。一旦用戶連接一數(shù)據(jù)庫(kù)，該用戶就可存取相應(yīng)模式中的全部對(duì)象，一個(gè)用戶僅與同名的模式相聯(lián)系，所以用戶和模式是類似的。模式為模式對(duì)象的集合，模式對(duì)象如表、視圖、過(guò)程和包等。1． 數(shù)據(jù)庫(kù)的存取控制ORACLE保護(hù)信息的方法采用任意存取控制來(lái)控制全部用戶對(duì)命名對(duì)象的存取。在ORACLE服務(wù)器上提供了一種任意存取控制，是一種基于特權(quán)限制信息存取的方法。在ORACLE多用戶數(shù)據(jù)庫(kù)系統(tǒng)中，安全機(jī)制作下列工作：l 防止非授權(quán)的數(shù)據(jù)庫(kù)存??；l 防止非授權(quán)的對(duì)模式對(duì)象的存取；l 控制磁盤使用；l 控制系統(tǒng)資源使用；l 審計(jì)用戶動(dòng)作。計(jì)算機(jī)系統(tǒng)都有這個(gè)問(wèn)題，在數(shù)據(jù)庫(kù)系統(tǒng)中大量數(shù)據(jù)集中存放，為許多用戶共享，使安全問(wèn)題更為突出。Oracle培訓(xùn)教材數(shù)據(jù)庫(kù)的安全性、完整性、并發(fā)控制和恢復(fù)為了保證數(shù)據(jù)庫(kù)數(shù)據(jù)的安全可靠性和正確有效，DBMS必須提供統(tǒng)一的數(shù)據(jù)保護(hù)功能。在一般的計(jì)算機(jī)系統(tǒng)中，安全措施是一級(jí)一級(jí)設(shè)置的。數(shù)據(jù)庫(kù)安全可分為二類：系統(tǒng)安全性和數(shù)據(jù)安全性。用戶要存取一對(duì)象必須有相應(yīng)的特權(quán)授給該用戶。用戶對(duì)對(duì)象的存取受特權(quán)控制。第一數(shù)據(jù)庫(kù)有一組模式。用戶的存取權(quán)利受用戶安全域的設(shè)置所控制，在建立一個(gè)數(shù)據(jù)庫(kù)的新用戶或更改一已有用戶時(shí)，安全管理員對(duì)用戶安全域有下列決策：l 是由數(shù)據(jù)庫(kù)系統(tǒng)還是由操作系統(tǒng)維護(hù)用戶授權(quán)信息。l 規(guī)定用戶具有的特權(quán)和角色，可存取相應(yīng)的對(duì)象。由操作系統(tǒng)鑒定用戶的優(yōu)點(diǎn)是：l 用戶可更方便地連接到ORACLE，不需要指定用戶名和口令。ORACLE數(shù)據(jù)庫(kù)方式的用戶確認(rèn)：ORACLE利用存儲(chǔ)在數(shù)據(jù)庫(kù)中的信息可鑒定試圖接到數(shù)據(jù)庫(kù)的一用戶，這種鑒別方法僅當(dāng)操作系統(tǒng)不能用于數(shù)據(jù)庫(kù)用戶鑒別時(shí)才使用。2） 用戶的表空間設(shè)置和定額關(guān)于表空間的使用有幾種設(shè)置選擇：l 用戶的缺省表空間；l 用戶的臨時(shí)表空間；l 數(shù)據(jù)庫(kù)表空間的空間使用定額。一個(gè)環(huán)境文件是命名的一組賦給用戶的資源限制。每一個(gè)會(huì)話在執(zhí)行SQL語(yǔ)句的計(jì)算機(jī)上耗費(fèi)CPU時(shí)間和內(nèi)存量進(jìn)行限制。在調(diào)用級(jí)：在SQL語(yǔ)句執(zhí)行時(shí)，處理該語(yǔ)句有好幾步，為了防止過(guò)多地調(diào)用系統(tǒng)，ORACLE在調(diào)用級(jí)可設(shè)置幾種資源限制。l 為了防止過(guò)多的I/O，ORACLE可限制每次調(diào)用和每次會(huì)話的邏輯數(shù)據(jù)塊讀的數(shù)目。利用用戶環(huán)境文件可容易地管理資源限制。在許多情況中決定一用戶的環(huán)境文件的合適資源限制的最好的方法是收集每種資源使用的歷史信息。ORACLE有60多種不同系統(tǒng)特權(quán),每一種系統(tǒng)允許用戶執(zhí)行一種特殊的數(shù)據(jù)庫(kù)操作或一類數(shù)據(jù)庫(kù)操作.系統(tǒng)特權(quán)可授權(quán)給用戶或角色,一般,系統(tǒng)特權(quán)全管理人員和應(yīng)用開(kāi)發(fā)人員, ,可從那些被授權(quán)的用戶或角色回收系統(tǒng)特權(quán).對(duì)象特權(quán)：在指定的表、視圖、序列、過(guò)程、函數(shù)或包上執(zhí)行特殊動(dòng)作的權(quán)利。這些對(duì)象的持有者可將這些對(duì)象上的任何對(duì)象特權(quán)可授權(quán)給其他用戶。有下列優(yōu)點(diǎn)：l 減少特權(quán)管理，不要顯式地將同一特權(quán)組授權(quán)給幾個(gè)用戶，只需將這特權(quán)組授給角色，然后將角色授權(quán)給每一用戶。l 專門的應(yīng)用安全性，角色使用可由口令保護(hù)，應(yīng)用可提供正確的口令使用權(quán)角色使能，達(dá)到專用的應(yīng)用安全性。應(yīng)用角色是授予的運(yùn)行一數(shù)據(jù)庫(kù)應(yīng)用所需的全部特權(quán)。用戶特權(quán)管理是受應(yīng)用角色或特權(quán)授權(quán)給用戶角色所控制，然后將用戶角色授權(quán)給相應(yīng)的用戶。l 授權(quán)給一用戶的每一角色可以是使能的或者使不能的。角色名與用戶不同，角色不包含在任何模式中，所以建立一角色的用戶被刪除時(shí)不影響該角色。l 監(jiān)視和收集關(guān)于指定數(shù)據(jù)庫(kù)活動(dòng)的數(shù)據(jù)。l 對(duì)象審計(jì)，對(duì)一特殊模式對(duì)象上的指定語(yǔ)句的審計(jì)。當(dāng)數(shù)據(jù)庫(kù)的審計(jì)是使能的，在語(yǔ)句執(zhí)行階段產(chǎn)生審計(jì)記錄。二、 數(shù)據(jù)完整性 它是指數(shù)據(jù)的正確性和相容性。l 引用完整性規(guī)則，同關(guān)系模型定義l 用戶對(duì)定義的規(guī)則，為復(fù)雜性完整性檢查。1． 完整性約束ORACLE利用完整性約束機(jī)制防止無(wú)效的數(shù)據(jù)進(jìn)入數(shù)據(jù)庫(kù)的基表，如果任何DML執(zhí)行結(jié)果破壞完整性約束，該語(yǔ)句被回滾并返回一上個(gè)錯(cuò)誤。所以說(shuō)明性完整性約束優(yōu)于應(yīng)用代碼和數(shù)據(jù)庫(kù)觸發(fā)器。l 由于完整性約束存儲(chǔ)在數(shù)據(jù)字典中，數(shù)據(jù)庫(kù)應(yīng)用可利用這些信息，在SQL語(yǔ)句執(zhí)行之前或由ORACLE檢查之前，就可立即反饋信息。ORACLE的DBA和應(yīng)用開(kāi)始者對(duì)列的值輸入可使用的完整性約束有下列類型：l NOT NULL約束:如果在表的一列的值不允許為空，則需在該列指定NOT NULL約束。l PRIMARY KEY約束：在數(shù)據(jù)庫(kù)中每一個(gè)表可有一個(gè)PRIMARY KEY約束。包含在引用完整性約束定義的列或組列稱為外來(lái)碼。如果對(duì)表的每一行，其外來(lái)碼的值必須與主碼中一值相匹配，則需指定引用完整性約束。這些過(guò)程稱為數(shù)據(jù)庫(kù)觸發(fā)器。在許多情況中觸發(fā)器補(bǔ)充ORACLE的標(biāo)準(zhǔn)功能，提供高度專用的數(shù)據(jù)庫(kù)管理系統(tǒng)。l 在分布式數(shù)據(jù)庫(kù)中實(shí)施跨結(jié)點(diǎn)的引用完整性。l 維護(hù)同步的表副本。而SQL*FORMS的觸發(fā)器是SQL*FORMS應(yīng)用的組成，僅當(dāng)在指定SQL*FORMS應(yīng)用中執(zhí)行指定觸發(fā)器點(diǎn)時(shí)才激發(fā)該觸發(fā)器。觸發(fā)器作為過(guò)程，是PL/SQL塊，當(dāng)觸發(fā)語(yǔ)句發(fā)出、觸發(fā)限制計(jì)算為真時(shí)該過(guò)程被執(zhí)行。在多用戶數(shù)據(jù)庫(kù)環(huán)境中，多個(gè)用戶程序可并行地存取數(shù)據(jù)庫(kù)，如果不對(duì)并發(fā)操作進(jìn)行控制，會(huì)存取不正確的數(shù)據(jù)，或破壞數(shù)據(jù)庫(kù)數(shù)據(jù)的一致性。這種情況稱為數(shù)據(jù)庫(kù)的不一致性，這種不一致性是由于并行操作而產(chǎn)生的。數(shù)據(jù)不一致總是是由兩個(gè)因素造成：一是對(duì)數(shù)據(jù)的修改，二是并行操作的發(fā)生。l 不可重復(fù)讀在一個(gè)事務(wù)范圍內(nèi)，兩個(gè)相同查詢將返回不同數(shù)據(jù)，由于查詢注意到其它提交事務(wù)的修改而引起。1) 封鎖在多用戶數(shù)據(jù)庫(kù)中一般采用某些數(shù)據(jù)封鎖來(lái)解決并發(fā)操作中的數(shù)據(jù)一致性和完整性問(wèn)題。共享封鎖允許相關(guān)資源可以共享，幾個(gè)用戶可同時(shí)讀同一數(shù)據(jù)，幾個(gè)事務(wù)可在同一資源上獲取共享封鎖。2) ORACLE多種一致